林育深，武玉剛，阮錦新

(廣東第二師范學(xué)院， 廣東 廣州 510303)

?

校園無線局域網(wǎng)非法接入及數(shù)據(jù)安全問題研究

林育深，武玉剛，阮錦新

(廣東第二師范學(xué)院， 廣東 廣州 510303)

摘要:無線網(wǎng)絡(luò)存在非法用戶接入、非法接入點(diǎn)連接和數(shù)據(jù)安全等問題.分析常見的線路加密技術(shù)、端口訪問控制、portal認(rèn)證等無線網(wǎng)絡(luò)安全認(rèn)證方式，給出無線網(wǎng)絡(luò)建設(shè)解決方案，同時(shí)對無線網(wǎng)絡(luò)安全問題給出一些解決措施：雙AC熱備、非法AP管理及信道干擾管理、AP負(fù)載均衡、無線漫游、入侵檢測和AP報(bào)警等.

關(guān)鍵詞:WLAN； AP ；AC ；802.1X； 安全性

0引言

近年來，無線局域網(wǎng)迅速發(fā)展，家用無線網(wǎng)絡(luò)、運(yùn)營商無線網(wǎng)絡(luò)、移動熱點(diǎn)以及各單位建設(shè)的無線網(wǎng)絡(luò)越來越多，無線接入越來越方便.隨著移動終端的逐漸增加，無線網(wǎng)絡(luò)的使用已成為生活中必不可少的部分.許多城市推出了智慧城市的建設(shè)，推出了城市免費(fèi)無線網(wǎng)絡(luò)，智能家居在逐漸發(fā)展，同時(shí)隨著“互聯(lián)網(wǎng)+”戰(zhàn)略的提出，無線網(wǎng)絡(luò)在現(xiàn)代社會生活中發(fā)揮著越來越重要的作用.

無線網(wǎng)絡(luò)的迅速發(fā)展，導(dǎo)致無線網(wǎng)絡(luò)技術(shù)越來越先進(jìn)的同時(shí),無線網(wǎng)絡(luò)建設(shè)和無線網(wǎng)絡(luò)終端接入越來越簡單.然而，無線網(wǎng)絡(luò)在建設(shè)、訪問方便的同時(shí)，安全性問題也日益突出.

無線網(wǎng)絡(luò)存在的核心安全問題歸結(jié)起來有3點(diǎn)[1-5]：(i)非法用戶接入問題.由于許多無線網(wǎng)絡(luò)建設(shè)者對無線網(wǎng)絡(luò)安全認(rèn)識不足，出現(xiàn)無線網(wǎng)絡(luò)設(shè)備密碼被破解入侵或無線網(wǎng)絡(luò)密碼過于簡單，非法用戶通過各種無線網(wǎng)絡(luò)密碼破解軟件可以輕松訪問無線網(wǎng)絡(luò)，對網(wǎng)絡(luò)安全造成很大影響.(ii)非法接入點(diǎn)連接問題.無線網(wǎng)絡(luò)易于搭建，用戶可以購買路由器，自行搭建自己的無線網(wǎng)絡(luò)，這樣的無線網(wǎng)絡(luò)對網(wǎng)絡(luò)管理和網(wǎng)絡(luò)安全是很大的安全威脅，對通過無線終端發(fā)起的各種攻擊或非法入侵無法做到有效的審計(jì)和管理.(iii)數(shù)據(jù)安全問題.許多無線網(wǎng)絡(luò)設(shè)備雖然進(jìn)行了各種安全設(shè)置，比如SSID隱藏、WEP加密、WPA加密、MAC過濾等，可是惡意攻擊仍可以通過Ethereal和TCPDump等軟件，獲取合法的MAC地址，通過更改MAC地址偽裝成合法用戶對設(shè)備發(fā)起攻擊.由于無線網(wǎng)絡(luò)設(shè)備品牌繁多，硬件和軟件漏洞必不可免，惡意攻擊者利用漏洞對設(shè)備發(fā)起攻擊，獲取合法身份，對傳輸信息進(jìn)行竊聽、截取、篡改和破壞，配合大數(shù)據(jù)和數(shù)據(jù)挖掘技術(shù)，利用社會學(xué)原理，導(dǎo)致嚴(yán)重的后果.目前用戶信息被泄露導(dǎo)致用戶經(jīng)濟(jì)、精神損失的現(xiàn)象越來越多，無線網(wǎng)絡(luò)安全問題必須引起足夠的重視.

1無線網(wǎng)絡(luò)安全認(rèn)證方式[6-9]

1.1線路加密技術(shù)

在鏈路層加密，當(dāng)用戶的密鑰與無線路由器的密鑰相同時(shí)才可以訪問網(wǎng)絡(luò)的資源，防止非授權(quán)用戶的訪問，目前有幾種無線網(wǎng)絡(luò)加密技術(shù)，如WEP、WPA、WAPI以及WPA2等.這些安全認(rèn)證有其優(yōu)缺點(diǎn)，優(yōu)點(diǎn)是組網(wǎng)簡單，安裝容易；缺點(diǎn)是安全性較差，由于WPA及WPA2都采用RC4加密算法，該算法在無線網(wǎng)絡(luò)中IV(初始化向量)存在不變性漏洞，同時(shí)加密密匙普遍不長，容易受到攻擊.還有，外校來賓使用網(wǎng)絡(luò)，也必須告訴其密碼，這樣一來，整個(gè)網(wǎng)絡(luò)需經(jīng)常更換密碼.

常見的安全處理方法有：采用強(qiáng)力的密碼；嚴(yán)禁廣播服務(wù)集合標(biāo)識符(SSID)；對介質(zhì)訪問控制(MAC)地址進(jìn)行控制；在網(wǎng)絡(luò)不使用的時(shí)間，將其關(guān)閉；關(guān)閉WDS功能等.

網(wǎng)絡(luò)上有許多線路加密技術(shù)破解軟件，通過密碼字典強(qiáng)力破解.并且出現(xiàn)了一些無線破解系統(tǒng)，比如CDLinux和BT等，通過破解pin碼來接入無線網(wǎng)絡(luò).針對這些方法,可關(guān)閉路由器的WPS功能或購買具有防pin功能的路由器.

1.2端口訪問控制(802.1X)

802.1X是基于C/S模式的訪問控制和協(xié)議認(rèn)證，對基于端口的設(shè)備或用戶進(jìn)行認(rèn)證，只有在認(rèn)證通過后才能訪問網(wǎng)絡(luò)，整個(gè)認(rèn)證過程可以由加密隧道保護(hù)，避免認(rèn)證泄露.WPA可以采用802.1X作為認(rèn)證組件，配合AES/TKIP數(shù)據(jù)加密，保護(hù)用戶數(shù)據(jù)安全.

由于802.1X認(rèn)證比PPPoE認(rèn)證安全，所以部署成本較高，用戶終端必須安裝支持802.1X的客戶端軟件才能訪問網(wǎng)絡(luò)，無線網(wǎng)絡(luò)作為有線網(wǎng)絡(luò)的補(bǔ)充，特點(diǎn)是方便、快捷.但是，對于外校來賓使用網(wǎng)絡(luò)，如果使用802.1X認(rèn)證，須將客戶端軟件分發(fā)到終端并安裝客戶端程序，這樣做較為麻煩.該認(rèn)證一般適合計(jì)算機(jī)操作熟練，且對無線傳輸安全要求較高的用戶使用.

目前，市場已有一些支持802.1X認(rèn)證的路由器，導(dǎo)致網(wǎng)絡(luò)管理復(fù)雜，同時(shí)對網(wǎng)絡(luò)安全造成一定影響，可通過認(rèn)證系統(tǒng)的一些策略進(jìn)行管理，限制對該類路由器的使用.

1.3Portal認(rèn)證

基于IOS、Android和windows系統(tǒng)的移動終端越來越多，PPPoE認(rèn)證和802.1X認(rèn)證方式顯然對用戶訪問網(wǎng)絡(luò)和網(wǎng)絡(luò)管理帶來了極大的不方便，Portal認(rèn)證可以方便地滿足用戶認(rèn)證上網(wǎng)的需求.Portal認(rèn)證是指終端通過瀏覽器在portal服務(wù)器提供的頁面上輸入自己的認(rèn)證信息，認(rèn)證通過后便可以訪問網(wǎng)絡(luò).

Portal認(rèn)證方式用戶通過Web瀏覽器完成認(rèn)證，界面友好、直觀.當(dāng)然，Portal認(rèn)證也存在不足的地方，例如很多用戶連上網(wǎng)絡(luò)，經(jīng)常不經(jīng)意關(guān)閉下線網(wǎng)絡(luò)界面，致使服務(wù)器誤以為用戶一直在線，下次登錄時(shí)提示用戶已在線等錯誤信息.

2無線網(wǎng)絡(luò)建設(shè)方案

當(dāng)今無線局域網(wǎng)網(wǎng)絡(luò)發(fā)展迅猛，無線設(shè)備制造商相繼推出了網(wǎng)絡(luò)解決方案，比如華為、H3C、思科.無線網(wǎng)絡(luò)解決方案的相繼推出，極大地推動了無線網(wǎng)絡(luò)的發(fā)展.

一個(gè)集中式部署的網(wǎng)絡(luò)架構(gòu)，是一套比較完美的移動網(wǎng)絡(luò)的系統(tǒng)模型，它能夠更加全面地了解網(wǎng)絡(luò)的現(xiàn)狀，然后實(shí)現(xiàn)集中管理、集中控制，能夠在一定程度上降低網(wǎng)絡(luò)的管理和運(yùn)營成本.并且，集中化的管理模式能夠?qū)崿F(xiàn)客戶端的安全訪問和流量的安全轉(zhuǎn)發(fā)功能，很輕松地搭建一個(gè)安全、可靠、易升級的無線網(wǎng)絡(luò)架構(gòu).

統(tǒng)一的無線網(wǎng)絡(luò)具有輕松實(shí)現(xiàn)無線網(wǎng)絡(luò)服務(wù)轉(zhuǎn)發(fā)、網(wǎng)絡(luò)的實(shí)時(shí)射頻管理，并且能夠提供網(wǎng)絡(luò)的安全加密和認(rèn)證，為網(wǎng)絡(luò)提供入侵保護(hù).

H3C無線網(wǎng)絡(luò)的解決方案，采用AC+FitAP進(jìn)行建設(shè)管理.AP可支持FIT和FAT兩種模式，可工作在2.5GHz和5GHz雙頻模式，支持a/b/g/n模式，通過AC控制器進(jìn)行管理，經(jīng)H3C的IMC系統(tǒng)可實(shí)現(xiàn)用戶有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)和VPN的統(tǒng)一認(rèn)證.

2.1統(tǒng)一規(guī)劃AP頻道

無線AP工作在2.5GHz模式下，可用頻道有1、6、11，工作在5GHz模式下，可用頻道有12個(gè)，在建設(shè)時(shí)統(tǒng)一規(guī)劃頻道，2.4GHz模式手動分配AP信道，在AP布置較復(fù)雜時(shí)，可配置AP的信道為auto模式，AC自動分配AP信道；5GHz模式下，可用信道較多，可配置的信道為auto模式.

2.2VLAN劃分

校園無線網(wǎng)絡(luò)分布較大，覆蓋各樓宇、校道和公共活動場所，合理劃分VLAN至關(guān)重要.合理劃分VLAN使得無線網(wǎng)絡(luò)建設(shè)、管理和維護(hù)變得簡單，同時(shí)使得網(wǎng)絡(luò)安全得到很大提高，避免在arp病毒爆發(fā)時(shí)對網(wǎng)絡(luò)的影響.

2.3設(shè)定策略

由于校園無線網(wǎng)絡(luò)使用終端多為智能手機(jī)等，訪問時(shí)間短且不固定，具有隨機(jī)性，通過設(shè)置合理的心跳時(shí)間和心跳次數(shù)來減小AC壓力.由于有線網(wǎng)絡(luò)、無線網(wǎng)絡(luò)統(tǒng)一認(rèn)證，為了確保同一賬號只能一個(gè)在線，設(shè)定策略，確保用戶在有線網(wǎng)絡(luò)和無線網(wǎng)絡(luò)之間的有效切換.

2.4IMC設(shè)置

在IMC中，需增加對POE交換機(jī)和AP等NAS設(shè)備的管理，防止非法NAS設(shè)備的接入；配置portal服務(wù)器，對接入用戶的IP地址、心跳策略等進(jìn)行配置，進(jìn)行用戶portal認(rèn)證的設(shè)置和管理.

3無線網(wǎng)絡(luò)安全措施

校園無線網(wǎng)絡(luò)建設(shè)完成后，不可避免地存在一些安全問題，可以采取下面的措施以保障校園無線網(wǎng)絡(luò)的安全.

3.1兩AC互主備保障無線網(wǎng)絡(luò)安全

建設(shè)無線網(wǎng)絡(luò)時(shí)應(yīng)考慮到統(tǒng)一認(rèn)證、統(tǒng)一管理、災(zāi)難備份等.為了保證無線網(wǎng)絡(luò)的安全可靠，可采用兩個(gè)AC，主備AC,兩AC采用熱備方式.備用AC主動檢測主AC狀態(tài)，當(dāng)主AC出現(xiàn)問題時(shí)，備用AC接管對主AC區(qū)域的AP，保障無線網(wǎng)絡(luò)業(yè)務(wù)的正常.通過熱插拔技術(shù)拔出一塊AC，來測試雙AC的主/備功能，實(shí)驗(yàn)驗(yàn)證主備AC能夠快速切換，切換期間網(wǎng)絡(luò)穩(wěn)定.

3.2非法AP管理與信道干擾處理

在AP信道進(jìn)行合理劃分和實(shí)施后，會存在一些非法AP設(shè)備，為了確保網(wǎng)絡(luò)安全，在AC中開啟非法設(shè)備檢測功能，可以有效地對非法AP設(shè)備進(jìn)行管理.由于AP功率關(guān)系， 存在相鄰AP信道信號干擾問題，同時(shí)未認(rèn)證AP對信道的干擾更大.AC可以自動配置AP信道，信道智能切換能夠保證每個(gè)AP分配到最優(yōu)的信道，使相鄰信道干擾盡可能地減少和避免.實(shí)時(shí)信道干擾檢測功能，可以讓AP實(shí)時(shí)避開如雷達(dá)、微波爐等干擾源的干擾.

3.3AP負(fù)載均衡確保設(shè)備安全

802.11協(xié)議無線客戶端決定了無線漫游的決策，無線客戶端一般會選擇信號強(qiáng)度(RSSI)較強(qiáng)的AP，這很容易導(dǎo)致某個(gè)AP因?yàn)樾盘栞^強(qiáng)而連接了大量的客戶端.由于這些客戶端共享無線媒介，從而導(dǎo)致每個(gè)客戶端的網(wǎng)絡(luò)吞吐大量減少.

每個(gè)AP可以支持上百人訪問網(wǎng)絡(luò)，但是訪問效果明顯很差，同時(shí)為了保護(hù)AP，在AC中限定每個(gè)AP支持30用戶，當(dāng)超過30用戶時(shí)，AC可以實(shí)時(shí)地分析無線用戶的位置，以便動態(tài)地確定在當(dāng)前位置和當(dāng)前時(shí)刻哪些AP可以相互分擔(dān)負(fù)載，將新連接轉(zhuǎn)移到相鄰AP中，同時(shí)當(dāng)AP信道利用率較高時(shí)，AC也會將新連接轉(zhuǎn)移到相鄰AP中，來實(shí)現(xiàn)AP負(fù)載均衡.

3.4無線漫游技術(shù)確保用戶信息安全

H3CAC針對漫游用戶的快速切換采用Keycaching技術(shù)，Keycaching技術(shù)避免了無線用戶終端在兩個(gè)AP間進(jìn)行漫游時(shí)重新進(jìn)行完整的802.1x認(rèn)證交互過程，保證了用戶身份的識別和密鑰使用的連續(xù)性，在快速漫游和用戶的安全接入之間做了一個(gè)很好的平衡；無線用戶在快速漫游時(shí)，單AC內(nèi)漫游時(shí)間短.

3.5入侵檢測、黑名單、ACL和portal認(rèn)證

在AC上開啟防arp功能，可以有效地管理校園網(wǎng)常見的arp問題，確保無線網(wǎng)絡(luò)的正常運(yùn)行.ACL技術(shù)，可以有效地管理對接入資源訪問問題，同時(shí)在AP夜晚沒有接入的情況下，智能關(guān)閉AP，節(jié)約能源同時(shí)保護(hù)設(shè)備.

在AC上開啟portal認(rèn)證，方便接入的同時(shí)，用戶接入信息的安全得到了保證.

3.6AP的管理和實(shí)時(shí)報(bào)警

IMC系統(tǒng)中，通過無線網(wǎng)絡(luò)管理模塊可以有效地對AP進(jìn)行管理，并實(shí)時(shí)顯示AP工作狀態(tài)及各AP接入用戶信息.當(dāng)AP出現(xiàn)問題時(shí)，通過IMC的報(bào)警模塊，進(jìn)行實(shí)時(shí)報(bào)警，確保設(shè)備安全.

參考文獻(xiàn)：

[1] 田永民.基于無線網(wǎng)絡(luò)WLAN安全機(jī)制分析[J].數(shù)字技術(shù)與應(yīng)用， 2011(5)：69-70.

[2] 劉乃安.無線局域網(wǎng)—原理、技術(shù)及應(yīng)用[M].西安:西安電子科技大學(xué)出版社,2004：20-55.

[3] 呂海燕，呂紅，任穎,等. 無線網(wǎng)絡(luò)的安全機(jī)制及其實(shí)施[J].中國現(xiàn)代教育裝備,2010(3)：18-21.

[4] 王茂才, 戴光明，宋軍,等.無線局域網(wǎng)的安全性研究[J].計(jì)算機(jī)應(yīng)用研究,2007(1): 158-160.

[5] 趙偉艇.無線局域網(wǎng)的加密和訪問控制安全性分析[J].微計(jì)算機(jī)信息,2007，23(7-3): 65-66.

[6] 白莉娜．無線網(wǎng)絡(luò)在圖書館應(yīng)用時(shí)的安全分析與防范策略[J]．高校圖書情報(bào)論壇，2007，6(4)：75-78．

[7] 丁家鳳．無線網(wǎng)絡(luò)通信加密措施探討[J]．信息技術(shù)，2011(1): 33-35．

[8] 任偉．無線網(wǎng)絡(luò)安全問題初探[J]．信息網(wǎng)絡(luò)安全，2012(1)：10-13．

[9] 趙建超，尹新富．校園無線網(wǎng)絡(luò)安全綜合防御[J]．制造業(yè)自動化，2011，33(2)：29-31．

收稿日期：2015-08-03

基金項(xiàng)目：2013年國家自然科學(xué)基金面上項(xiàng)目(61370186)；2012年度“教育部-中國移動科研基金”項(xiàng)目(MCM20121051)；廣東省省級科技計(jì)劃項(xiàng)目(2013A011403002，2014A010103040)；廣州市科技計(jì)劃項(xiàng)目(2014J4100032)

作者簡介：林育深，男，廣東潮陽人，廣東第二師范學(xué)院實(shí)驗(yàn)師.

中圖分類號：TP 393

文獻(xiàn)標(biāo)識碼：A

文章編號：2095-3798(2016)03-0086-04

The Research of the Illegal Access of CampusWirelessNetworkandDataSafety

LINYu-shen,WUYu-gang,RUANJin-xin

(GuangdongUniversityofEducation,Guangzhou,Guangdong, 510303，P.R.China)

Abstract:Illegal user access, unauthorized access points and data security problems are existing in the wireless network. The wireless network security authentication methods are analyzed, including the common line encryption technology, port access control and portal authentication. The construction of wireless network solution is given and some solutions of the wireless network security problems are given, including dual AC hot standby, illegal AP management and channel interference management, AP load balancing, wireless roaming, intrusion detection and AP alarming.

Key words:WLAN； AP ； AC； 802.1X ； security